11/5/2014
Dość popularna usługa pozwalająca na skrócenie długiego URL-a poprosiła swoich użytkowników, aby zmienili hasła, zresetowali klucze API i tokeny OAuth. Bit.ly zostało zaatakowane …ale odmawia publikacji szczegółowych informacji na temat incydentu. Nie wiadomo więc, z jakiej podatności skorzystali włamywacze już wiadomo, szczegóły niżej.
Co można zrobić z czyimś kontem bit.ly?
Z pozoru wydawać by się mogło, że nawet jeśli ktoś przejmie czyjeś konto na bit.ly, to nic złego nie powinno się stać — najwyżej skasuje kilka linków. Bit.ly jest jednak często wykorzystywane do automatycznego skracania linków w sieciach społecznościowych (korzystają z niego także znane marki) — w tym celu użytkownicy często łączą swoje konta bit.ly z Facebookiem lub Twitterem, i to, czyli możliwość opublikowania treści na czyimś popularnym profilu na Facebooku lub Twitterze — jest w zasadzie największym zyskiem z ewentualnego przejęcia czyjegoś konta.
Do czego może doprowadzić niewinne twitnięcie? Pisaliśmy już o tym w kontekście fałszywej informacji na temat zamachu na prezydenta Obamę, która pojawiła się na przejętym koncie agencji Associated Press i spowodowała krach na giełdzie. Ofiarą żartownisi padły też fanki Justina Biebera, na którego Twitterze ktoś opublikował link do złośliwego oprogramowania.
Na chwilę obecną brak jakichkolwiek sygnałów, aby któreś z kont użytkowników bit.ly zostało przejęte i wykorzystane do dalszego ataku w sieciach społecznościowych. Jeśli jednak macie konto na bit.ly, na wszelki wypadek zmieńcie hasło — zwłaszca, że bitly nie ujawniło jak były hashowane hasła (a nawet użyło słowa “zaszyfrowane” co może sugerować, że skorzystano z kryptografii symetrycznej, podobnie jak było to w przypadku Adobe).
Jak doszło do włamania?
Jak informuje Bit.ly, o włamaniu dowiedzieli się od zewnętrznej firmy. Analiza wykazała, że intruz uzyskał dostęp do serwera z backupem bazy dzięki nieautoryzowanemu dostępowi do konta jednego z pracowników. Dopiero po tym fakcie Bit.ly zdecydowało się wdrożyć dwuskładnikowe uwierzytelnienie. Dodatkowo, z nowego posta dowiadujemy się, że hasła były jednak hashowane (BCrypt), a nie “szyfrowane”.
Mialem identyczne haslo na allegro i konto na allegro tez przejete.
screen or didn’t happen
Podali więcej szczegółów wczoraj: http://blog.bitly.com/post/85260908544/more-detail
Na bit.ly nie można kasować linków
Ale można zmieniać customy.
Dlatego właśnie szyfruje się wszystkie backupy, np. przez GPG. Z automatu umożliwia to np. obnam. Na serwer zdalny wrzuca się już zaszyfrowane pliki a klucze GPG trzyma w bezpiecznym miejscu. Tym sposobem nawet jak ktoś dostanie się na serwer z backupami może sobie najwyżej zagwizdać ze szczęścia.
A co to ma z bit.ly wspólnego?
Panowie, trwa atak na telefon, laptop i blog Korwina
Pomóżcie chłopu jeśli sympatyzujecie z KNP.
Nie.
Tak.
Pomidor.
Nie.